DHCP欺骗攻击

一、案例拓扑二、攻击思路1、攻击 三、防御方案1、在交换机上做限速操作2、在交换机上构建信任表

一、案例拓扑

二、攻击思路

由于dhcp协议没有认证机制，所有黑客可以伪造大量dhcp discover 请求 ，也就是听过拒绝式从而服务攻击，使得dhcp服务器 瘫痪，无法给局域网的网络设备提供服务。黑客通过伪造大量的垃圾mac地址，请求dhcp服务器，使得地址池中的地址资源耗尽，法给局域网的网络设备提供服务。 以上两种方式实现后，黑客可以自己伪装dhcp服务器，位该局域网提供dhcp服务，（同时黑客主机可以开启路由转发模式，确保受害主机正常通讯）达到，窃取、破坏和瘫痪网络的目的。

环境： dhcp服务器：vmware net 8 网卡对应的服务器 攻击机：kali – yersinia 构建dhcp 服务器：yersinia 搭建

1、攻击

单击ok 大量垃圾的dhcp 数据包 查看dhcp获取状况 pc1 pc2

伪造dhcp服务器 单击ok 查看dhcp获取状况 pc1 pc2

三、防御方案

1、在交换机上做限速操作

针对第一种攻击，做限速处理，降低dhcp服务器处理的数据包数量

#开启防御 [Huawei]dhcp enable [Huawei]dhcp snooping enable vlan 1 [Huawei]int g0/0/3 #除了连接服务器的接口，开启dhcp信任表，禁止仿冒dhcp [Huawei-GigabitEthernet0/0/3]dhcp snooping trusted #只允许10个mac dhcp 请求 [Huawei-GigabitEthernet0/0/3]dhcp snooping max-user-number 10 #流速限制 [Huawei]dhcp snooping check dhcp-rate enable vlan 1 [Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-rate 10

2、在交换机上构建信任表

针对第二种攻击： （1）如何二层src mac 不变，应用层dhcp包中的src mac 变化，可以检测这两者的一致性，不一致，直接丢弃

#检测chaddr字段 [Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-chaddr enable [Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-giaddr enable

（2）如果一致，构建mac-ip-接口-vlan的映射表，查看dhcp 数据包中的src mac 与信任表中的映射关系是否一致，不一致，丢弃或者关闭接口

[Huawei]dhcp snooping check dhcp-chaddr enable vlan 1 [Huawei]dhcp snooping check dhcp-giaddr enable vlan 1 [Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-chaddr enable [Huawei-GigabitEthernet0/0/3]dhcp snooping check dhcp-giaddr enable #人工构建 #保存信任表信息 [Huawei]dhcp snooping user-bind autosave flash:/11.tbl